W tym artykule przyjrzymy się korzyściom z Microsoft Sentinel oraz szczegółowej integracji tego narzędzia z Sysmon.

Korzyści Microsoft Sentinel

Microsoft Sentinel to natywne dla chmury rozwiązanie SIEM (Security Information and Event Management). Narzędzie dostarcza inteligentną analizę zabezpieczeń dla całego przedsiębiorstwa, wspieraną przez sztuczną inteligencję. Poniżej opisujemy kluczowe funkcjonalności Microsoft Sentinel:

• Zbieranie danych w skali chmury: Microsoft Sentinel umożliwia zbieranie danych dla wszystkich użytkowników, urządzeń, aplikacji i infrastruktury, zarówno ze źródeł lokalnych, jak i ze środowisk wielochmurowych, tworząc centralny punkt kolekcjonowani danych i ich analizy.
• Wykrywanie zagrożeń: Microsoft Sentinel wykorzystuje wbudowane funkcje uczenia maszynowego i wiedzę opartą na codziennej analizie bilionów sygnałów, także od innych dzierżawców, aby wykrywać wcześniej nieodkryte zagrożenia i zminimalizować wyniki fałszywie dodatnie.
• Badanie zagrożeń: Microsoft Sentinel umożliwia badanie zagrożeń za pomocą sztucznej inteligencji i wyszukiwanie podejrzanych działań prowadzonych na dużą skalę.
• Reagowanie na incydenty: Microsoft Sentinel umożliwia błyskawiczne reagowanie na incydenty, korzystając z funkcji aranżowania i automatyzowania typowych zadań.
• Skalowalność i oszczędność: Jako natywne dla chmury rozwiązanie SIEM, Microsoft Sentinel jest tańsze i szybsze do wdrożenia niż starsze lokalne rozwiązania SIEM. Funkcjonuje bowiem jako usługa w modelu SaaS nie wymaga nakładów na infrastrukturę i konfigurację tego, co znajduję się pod warstwą usługi. Dzięki temu można zainwestować w bezpieczeństwo, a nie w konfigurację, obsługę i utrzymanie infrastruktury.
• Zarządzanie incydentami i przypadkami: Microsoft Sentinel oferuje zaawansowane funkcje zarządzania incydentami i przypadkami, które pomagają w prowadzeniu typowego śledztwa dotyczącego incydentu.

Funkcje mogą się różnić w zależności od specyfiki środowiska IT i wymagań biznesowych. W każdym przypadku, wdrożenie Microsoft Sentinel powinno być dokładnie przemyślane i starannie zaplanowane.

Integracja Sysmona z Microsoft Sentinel

Integracja Sysmona z Microsoft Sentinel przynosi wiele korzyści, w tym:

• Zwiększona widoczność: Sysmon dostarcza szczegółowych informacji o aktywności systemowej, takich jak uruchamianie procesów, zmiany w systemie plików i modyfikacje rejestru. Te dane mogą być następnie przesyłane do Microsoft Sentinel, zapewniając pełniejszy obraz aktywności w monitorowanej infrastrukturze.
• Efektywne wykrywanie zagrożeń: Dzięki integracji z Sysmonem Microsoft Sentinel może korzystać z bogatych danych o zdarzeniach systemowych do wykrywania podejrzanej aktywności i potencjalnych zagrożeń.
• Automatyzacja reakcji: Microsoft Sentinel oferuje funkcje SOAR (Security Orchestration, Automation, and Response), które umożliwiają automatyczne reagowanie na wykryte zagrożenia. Dzięki danym z Sysmona, te reakcje mogą być bardziej precyzyjne i skuteczne.
• Oszczędność czasu i zasobów: Integracja tych dwóch narzędzi pozwala na centralizację i automatyzację wielu zadań związanych z bezpieczeństwem. Może to prowadzić do znacznych oszczędności czasu i zasobów.
• Poprawa zgodności: Dane z Sysmona mogą być wykorzystane w Microsoft Sentinel do tworzenia szczegółowych raportów i audytów, co może pomóc w spełnieniu wymogów zgodności.

Należy pamiętać, że korzyści te mogą się różnić w zależności od specyfiki środowiska i wymagań biznesowych. Niezbędne jest także optymalizowanie konfiguracji – chociażby filtrów zdarzeń Sysmona w cyklu życia implementacji. Ma to na celu z jednej strony eliminację rejestrowania zbędnych zdarzeń. Z drugiej nastawić precyzyjne filtry pod wykrywanie konkretnych (najczęściej nowych) scenariuszy ataku.

Integracja z Sysmona z Sentinelem jest tylko jednym z możliwych przykładów integracji Sysmona z narzędziem SIEM. Niewątpliwie należy to wziąć pod uwagę planując budżet dotyczący utrzymania rozwiązania monitorującego.  Równie dobrze można dokonać integracji z innymi rozwiązaniami tego typu, jak np. opensourceowy Wazuh, Elastic, Splunk, itd. Przy integracji najczęściej wymagany jest dedykowany dla Sysmon moduł. Ścieżka do logu to: Microsoft-Windows-Sysmon/Operationalm, co – w przypadku źródeł danych dla Sentinela – zostanie opisane w kolejnej sekcji artykułu.

Konfiguracja integracji

Należy rozpocząć od przygotowania obszaru roboczego usługi Log Analytics w Azure i powiązania z nim usługi Azure Sentinel. Następnym krokiem jest podłączenie do Log Analitycs monitorowanych zasobów – komputerów i serwerów. Wygodnie można to zrobić z wykorzystaniem Azure Arc, a wygenerowany skrypt konfiguracyjny może w znacznym stopniu zautomatyzować cały proces. W przypadku środowisk izolowanych od internetu logi można dostarczać do Azure za pomocą skonfigurowanego rozwiązania proxy. Logi z systemu Windows są dostarczane za pomocą usługi Microsoft Monitoring Agent.

Następnym krokiem jest skonfigurowanie reguł zbierania danych. W źródłach danych należy wybrać Microsoft-Windows-Sysmon/Operational. Log aplikacyjny, security i systemowy można zaznaczyć pod kontem korelacji logów Sysmon z zawartością tych sekcji.

To, czy do Sentinela dostarczane są logi Sysmona, można sprawdzić za pomocą prostej kwerendy KQL. Oczywiście w dalszych krokach kryteria zapytań można dokładniej doprecyzować:

Oczywiście w KQL możliwe jest stosowanie bardziej precyzyjnych zapytań dotyczących przykładowo zdarzeń o poszczególnym ID, a w treści zawierające szczegóły takie jak uruchamiany proces, konkretna wartość funkcji skrótu, itd.

Zapytania po kolumnie Rendered Description mogą być mało wygodne w przypadku analizy zagrożeń. Dobrym pomysłem będzie sparsowanie logu. Można w tym celu skorzystać z licznych zapytań znajdujących się chociażby w repozytorium GitHub. Poniżej przykład wykorzystania zapytania sentinel-attack/parser/Sysmon-OSSEM.txt at master · netevert/sentinel-attack · GitHub zapisanego jako funkcja z użyciem parsowanych kolumn.

Co otrzymamy po integracji

Po skonfigurowaniu integracji sysmona z Sysinternals można efektywnie wykorzystać funkcjonalności tego rozwiązania SIEM do monitorowani i proaktywnej ochrony infrastruktury. Microsoft Sentinel oferuje orkiestrację zabezpieczeń, automatyzację i reagowanie (SOAR), które pozwalają na błyskawiczne reagowanie na incydenty. Microsoft Sentinel – przy odpowiedniej konfiguracji – jest w stanie wykrywać wcześniej niewykryte zagrożenia i minimalizować wyniki fałszywie dodatnich.

Za pomocą sztucznej inteligencji, Microsoft Sentinel umożliwia badanie zagrożeń i polowanie na podejrzane działania na dużą skalę. To rezultat wielu lat pracy i doświadczeń Microsoft w zakresie cyberbezpieczeństwa.

Microsoft Sentinel korzystając z danych logu Sysmon umożliwia również tworzenie interaktywnych Workbooków, które pomagają w analizie i monitorowaniu zabezpieczeń. Dodatkowo, Microsoft Sentinel umożliwia korelowanie alertów z incydentami. Dodatkowo to pomaga w szybszym wykrywaniu i reagowaniu na zagrożenia w sposób usystematyzowany i zorganizowany.

Jak zoptymalizować koszt wdrożenia

Oprócz zalet nie można zapominać także o wadach. W zależności od ilości dostarczonych danych do usługi Sentinel z Sysmona i ewentualnie pozostałych logów Windows, koszt naliczany za usługę w Microsoft Azure będzie wprost proporcjonalny do ilości dostarczanych danych (szerokość filtrowanego pasma zdarzeń). Trzeba też wziąć pod uwagę ilość monitorowanych urządzeń Windows oraz okres retencjonowania danych. Także i te czynniki kosztowe należy uwzględnić na etapie planowania projektu wdrożeniowego. Z praktycznego punktu widzenia istotne może być przygotowanie koncepcji na zasadzie PoC. Najlepiej uwzględnić w nim kilka monitorowanych instancji i dostosować parametry monitorowania w postaci filtrów. To powinno pozwolić na uzyskanie miesięcznych średnich kosztów operacyjnych związanych z utrzymaniem branej pod uwagę konfiguracji monitorującej.

Sara Świerczek

Redaktorka Net Complex Blog